Auditoria em Sistemas de Informação

82967

A auditoria em sistemas de informação possui como característica principal o foco na análise e avaliação. Estes dois pontos são utilizados tanto em processos de planejamento, desenvolvimento, testes e aplicações de sistemas, como na verificação da estrutura lógica, física, ambiental, organizacional, segurança e proteção da informação. Ou seja, a auditoria de sistemas não possui como objetivo apenas a função da informática, mas também todos os sistemas de informação, informatizados ou não que estão presentes no dia-a-dia organizacional.

A função da auditoria de sistemas de informação é possibilitar uma adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos nos sistemas de informação, visando avaliar a utilização de recursos humanos e tecnológicos. Ela deve atuar em todos os sistemas da organização, seja no nível operacional, tático ou estratégico e deve possuir seus objetivos pautados em: efetividade, eficiência, confidencialidade, integridade, disponibilidade, compliance (conjunto de disciplinas para fazer cumprir as normas legais e regulamentares) e confiança.

Os objetivos globais da auditoria de sistemas de informação se resumem em:

  • Integridade: o sistema deve garantir a consistência e confiança nas transações processadas;
  • Confidencialidade: as informações são reveladas somente às pessoas que necessitam conhece-las;
  • Privacidade: as funções incompatíveis nos sistemas são segregadas;
  • Acuidade: as transações processadas podem ser validadas;
  • Disponibilidade: o sistema deve estar disponível para cumprimentos dos objetivos organizacionais;
  • Auditabilidade: os sistemas devem documentas logs operacionais que permitam trilhas de auditoria;
  • Versatilidade: o sistema deve ser amigável, de fácil adaptação ao fluxo operacional da organização;
  • Manutenibilidade: políticas e procedimentos operacionais devem contemplar controles quanto a teste, conversão, implantação e documentação de sistemas novos ou modificados.

Para a correta análise e avaliação, a auditoria de sistemas é dividida em modalidades que tendem a tornar mais eficaz sua implantação. A auditoria durante o desenvolvimento de sistemas compreende auditar todo o processo de construção de sistemas de informação, da fase de requisitos até a sua implantação. A auditoria em sistemas em produção preocupa-se com os procedimentos e resultados dos sistemas já implantados, na segurança, corretude e tolerância a falhas. A auditoria no ambiente tecnológico compreende a análise do ambiente de informática em termos de estrutura organizacional, contratos, normas técnicas, custos, nível de utilização de equipamentos e planos de segurança e de contingência. E por fim, a auditoria em eventos específicos que compreende a análise das causas, consequências e ações corretivas cabíveis em eventos não cobertos pelas auditorias anteriores.

Referências

CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2004. 2ª edição. Editora FCA, Lisboa – Portugal.

LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. 253 p.